书签分享收藏举报版权申诉 / 15

立即下载加入VIP,免费下载

当前位置：首页 > 物理 > 计算；推算；计数 > 存储器保护单元和用于控制对存储设备的访问的方法.pdf

存储器保护单元和用于控制对存储设备的访问的方法.pdf

上传人：32

文档编号：4215499

上传时间：2018-09-07

格式：PDF

页数：15

大小：515.08KB

《存储器保护单元和用于控制对存储设备的访问的方法.pdf》由会员分享，可在线阅读，更多相关《存储器保护单元和用于控制对存储设备的访问的方法.pdf（15页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102486755 A (43)申请公布日 2012.06.06 C N 1 0 2 4 8 6 7 5 5 A *CN102486755A* (21)申请号 201110395093.9 (22)申请日 2011.12.02 10193580.7 2010.12.03 EP G06F 12/14(2006.01) (71)申请人罗伯特博世有限公司地址德国斯图加特 (72)发明人 D.托斯 C.罗萨 B.米勒 C.格鲍尔 M.费尔希 M.埃伯特 (74)专利代理机构中国专利代理(香港)有限公司 72001 代理人胡莉莉卢江 (54) 发明名称存储器保护单元和用。

2、于控制对存储设备的访问的方法 (57) 摘要本发明涉及存储器保护单元和用于控制对存储设备的访问的方法。存储器保护单元包括被编程用于控制对存储设备的访问的至少一个第一访问控制单元和至少一个第二访问控制单元。另外涉及一种操作包括多个处理设备和关联到所述多个处理设备的多个存储器保护单元的处理系统的方法。如果第一访问控制单元和第二访问控制单元批准处理设备对存储器的访问，则该访问被批准，而如果第一访问控制单元或第二访问控制单元拒绝该访问，则该访问被拒绝。第一访问控制单元能由相关联的处理设备单独编程，并且第二访问控制单元的编程能由要用在具有多个编程设备的系统中的并不是相关联的处。

3、理设备的另外的处理设备来读。 (30)优先权数据 (51)Int.Cl. 权利要求书2页说明书7页附图5页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 7 页附图 5 页 1/2页 2 1.一种供具有多个处理设备的系统使用的存储器保护单元（14、15、16），其包括至少一个第一访问控制单元（31）和至少一个第二访问控制单元（32），第一和第二访问控制单元被编程，用于控制所述存储器保护单元（14、15、16）所关联到的相关联的处理设备（11、 12、13）对存储设备（17）的访问，其中，如果第一访问控制单元（31）和第二访问控制单元（32。

4、）批准所述相关联的处理设备（11、12、13）对存储设备（17）的访问，则该访问被批准，而如果第一访问控制单元（31）或第二访问控制单元（32）拒绝该访问，则该访问被拒绝；第一访问控制单元（31）能由所述相关联的处理设备（11、12、13）单独编程；并且第二访问控制单元（32）的编程能由并不是所述相关联的处理设备的另外的处理设备来读。 2.根据权利要求1所述的存储器保护单元（14、15、16），其特征在于硬件单元（33），以确保第二访问控制单元（32）的编程不能由所述相关联的处理设备（11、12、13）单独进行。 3.根据权利要求2所述的存储器保护单元（14、15、16），其中，所述。

5、硬件单元（33）具有外部引脚（34），以接收复位信号，其中在复位之后，所述硬件单元（33）允许对第二访问控制单元（32）编程一次。 4.根据权利要求2所述的存储器保护单元（14、15、16），其中，所述硬件单元（33）具有锁定寄存器，以使能或禁用第二访问控制单元（32）的重编程。 5.根据权利要求4所述的存储器保护单元（14、15、16），其中，仅在复位之后允许对锁定寄存器的访问。 6.根据权利要求2所述的存储器保护单元（14、15、16），其中，所述硬件单元（33）具有定时器，以允许在第二访问控制单元（32）的复位之后的预限定的时间之内对第二访问控制单元（32）进行编程，并且后来。

6、的编程通过硬件单元（33）发起错误信号。 7.一种操作包括多个处理设备（11、12、13）和相关联的存储器保护单元（14、15、16）的处理系统的方法，其具有以下步骤： - 对所述存储器保护单元（14、15、16）的第一访问控制单元（31）进行编程，其中每个处理设备（11、12、13）都对所述处理设备（11、12、13）所关联到的所述存储器保护单元（14、 15、16）的第一访问控制单元（31）进行编程； - 对关联到所述处理设备（11、12、13）的所述存储器保护单元（14、15、16）的第二访问控制单元（32）进行编程，其中第二访问控制单元（32）的编程包括由并不是相关联的处理设备。

7、的处理设备检查所述编程； - 如果关联到处理设备（11、12、13）的所述存储器保护单元（14、15、16）的第一访问控制单元（31）和第二访问控制单元（32）批准所述处理设备（11、12、13）对存储器（17）的访问，则该访问被批准，而如果第一访问控制单元（31）或第二访问控制单元（32）拒绝该访问，则该访问被拒绝。 8.根据权利要求6所述的方法，其中，第二访问控制单元（32）的编程需要到多个编程设备的复位信号，并且第二访问控制单元（32）能由并不是所述存储器保护单元的相关联的处理设备的处理设备重编程一次。 9.根据权利要求6所述的方法，其中，对第二访问控制单元（32）的正确编程的。

8、检查周期性地完成，如果检查失败，则生成错误信号。 10.根据权利要求6所述的方法，其中，如果第二访问控制单元（32）被重编程，则完成权利要求书CN 102486755 A 2/2页 3 对第二访问控制单元（32）的正确编程的检查。 11.根据权利要求6所述的方法，能够由安全核（500）完成第二访问控制单元（32）的编程和对程序正确性的检查。权利要求书CN 102486755 A 1/7页 4 存储器保护单元和用于控制对存储设备的访问的方法技术领域 0001 本发明涉及一种存储器保护单元以及一种保护存储设备免受未授权访问和在具有多个处理设备的多处理系统中管理对存储区的。

9、访问的方法。通常，本发明适用于各种存储设备以保护存储器。背景技术 0002 使用中存在不同类型的设备和存储器管理以保护存储器。专利US 2008/0155188 公开了这样的存储器保护单元。发明内容 0003 根据独立权利要求的存储器保护单元和方法具有如下优点：通过使用两个访问控制单元，可以实现非常安全的并且同时非常灵活的存储器保护。所述访问控制单元之一保护存储器以防不希望的被不同程序设备访问。其他访问控制单元保护存储器以防对由一个处理设备执行的不同程序或任务的不希望的访问。 0004 另外的优点通过从属权利要求的特征实现。 0005 通过使用硬件单元，减少了允许不希望访问的软件错。

10、误的可能性。该硬件单元保护存储设备免受软件错误。所述软件错误不能生成对存储设备的非法访问。 0006 另外，所述硬件单元确保第二访问控制单元的编程不能由相关联的处理设备进行（happen）。第二访问控制单元可由并不是相关联的处理设备的任何其他处理设备来编程。这防止相关联的处理设备在第二访问控制单元上对错误的地址进行编程。 0007 所述硬件单元可以具有锁定寄存器，该锁定寄存器进一步控制第二访问控制单元的后续编程。任何对于另外编程的企图生成错误信号。因此，所述存储器保护单元被更多地保护免受非法编程。 0008 所述存储器保护单元可以被实现来使得所述存储器保护单元需要复位信号以对第二访。

11、问控制单元进行编程，并且可以在复位之后和/或在复位之后的仅仅某特定时间周期内仅被编程一次。所述第二访问控制单元在正常操作期间是不可编程的。因此，所述存储器保护单元得到更多保护。因为存储器保护单元受到保护，所以所述存储器保护单元提供对存储设备的更多保护。 0009 检查第二访问控制单元的正确编程的一个非常有效的方法是：每个处理设备都周期性地检查所有第二访问控制单元的所存储的访问权限并且与存储区的期望的访问权限进行比较。如果该检查失败，则生成错误信号。因此，该方法防止了多个处理设备访问它们不被允许访问的存储区。该方法要求非常少的资源。如果第二访问控制单元被编程，则再次应用该方法。因此。

12、，每次该方法都确保了第二访问控制单元的访问权限的正确内容。 0010 第二访问控制单元可以由安全核编程，并且第二访问控制单元的编程可以由安全核本身来检查。因此，安全核控制整个系统。对安全核进行保护以防随机硬件错误以及软件错误，这进一步地使得系统非常安全。由安全核可以实现高度的保护。说明书CN 102486755 A 2/7页 5 附图说明 0011 图1图示了多处理器系统中的根据本发明的实施例的存储器保护单元的功能框图。 0012 图2示出了具有用于对存储器保护单元进行编程的安全核的多处理器系统。 0013 图3和图4示出了处理设备11、12、13可以如何出于对第二访问控制单元32。

13、进行编程或者读第二访问控制单元32的编程的目的而访问存储器保护单元14、15、16。 0014 图5示出了在处理设备11、12、13、总线系统200与存储设备17之间的可替换的连接。具体实施方式 0015 图1示出了包括多个处理设备11、12、13的框图。第一处理设备11经由通信线路 101被连接到第一存储器保护单元14。第二处理设备12经由通信线路102被连接到第二存储器保护单元15。第三处理设备13经由通信线路103被连接到第三存储器保护单元16。存储器保护单元14、存储器保护单元15和存储器保护单元16经由系统总线200被连接到存储设备17。系统总线可以是总线系统、交叉开关、。

14、互连或者任何其他芯片内部通信系统。存储器保护单元14、15、16各具有第一访问控制单元31、第二访问控制单元32和硬件单元 33。硬件单元33经由内部复位信号35被连接到第二访问控制单元32。硬件单元33具有连接到复位线路300的外部引脚34。尽管第一访问控制单元31、第二访问控制单元32和硬件单元33在14、15、16之内都具有相对应的功能，这些第一访问控制单元31、第二访问控制单元32和硬件单元33并不是“等同的”。在一种实现方案中，存储器保护单元还可以被视为处理设备的部分或者被视为通信系统的部分。 0016 处理设备11被关联到存储器保护单元14，使得处理设备11可以仅仅通过存。

15、储器保护单元14来访问存储设备17。类似地，处理设备12和13被关联到存储器保护单元15 和16，使得这些处理设备可以分别仅仅通过存储器保护单元15和16来访问存储设备17。访问意味着：处理设备11、12、13给出用于使得能够对存储设备17进行读或写的地址。 0017 处理设备11、12、13是能够执行程序的处理器或者是能够向存储设备17发出读或写命令的控制器。处理器例如可以是中央处理单元（CPU）、外围处理器或者协处理器。控制器可以诸如是直接存储器访问（DMA）控制器或者CAN控制器。 0018 存储设备17是存储单元的集合以暂时或持久地存储可以通过地址来访问的数据或程序。所有存储。

16、器或部分存储器可以被处理设备11、12和13来访问。例如，存储设备17 可以是RAM、ROM、FLASH或者非易失性RAM等或者外围部件的存储接口或者这样的存储设备的组合。 0019 由18、19表示的程序是由处理设备11、12或13执行的任何大小的可执行指令序列。可存在由处理设备执行的许多不同的这样的程序，并且它们可能需要对存储设备17的访问。这些程序可能利用整个存储设备17或者部分存储设备17。现在将可交换地参照术语“程序”或“任务”。 0020 存储设备17对于处理设备11、12、13作为仅仅“读”选项或者在“读”和“写”选项的情况下是可用的。存储设备17的部分可专用于仅仅可被。

17、某些处理设备或某些程序访问。说明书CN 102486755 A 3/7页 6 如在图1中所示，存储区21、22、23专用于不同的处理设备11、12、13。存储区21示出了由存储区210、211给出的子结构，其中这些存储区210、211动态地根据哪个任务18、19被处理设备11执行而被分配。为由该处理设备执行的特定程序所预留的存储区可以不被允许由另一处理设备写或者甚至读访问，并且反之亦然。图1示出了存储区21，该存储区21意图仅可由被处理设备11所执行的程序访问。另外，存储区23仅可由被处理设备12执行的程序访问。存储区22仅可被处理设备12访问。 0021 根据哪个程序18、1。

18、9被处理设备11执行，第一访问控制单元31准予对不同的子存储区210、211的访问。这通过对第一访问控制单元31动态地重编程来实现。 0022 为简单起见，以下段落中的描述关于处理设备11和存储器保护单元14来解释。除非另行说明，类似的过程同样也适用于其他处理设备12、13和存储器保护单元15、16。 0023 存储器保护单元14、15、16的第一访问控制单元31和第二访问控制单元32具有检查处理设备11、12、13的访问命令的模式（读、写、控制）和地址的功能。为此目的，对可容许的地址的限制被存储在第一和第二访问控制单元31、32中。由相关联的处理设备11、12、 13对存储设备17的。

19、任何读或写访问通过存储器保护单元14、15、16来完成。如果第一访问控制单元31和第二访问控制单元32批准针对所请求的地址对相关联的处理设备11的访问，则批准该访问。如果第一访问控制单元31和第二访问控制单元32中的任何一个拒绝该访问，则该访问受到拒绝。 0024 相对应的存储器保护单元14的第一访问控制单元31可由相关联的处理设备11 来编程。动态地针对每个任务18、19对第一访问控制单元31进行编程。第一访问控制单元31的编程不应是运行任务本身的部分。因此，该编程仅被在相关联的设备11中运行的程序的特定部分允许。优选地，应仅通过操作系统对第一访问控制单元31进行编程。存储区21。

20、0被允许仅被任务18访问，而存储区211仅针对任务19是可访问的，并且这由操作系统进行编程。这样，任务18、19因此可以仅具有对许可的存储区210、211的访问。因此，第一访问控制单元31提供免受在该处理设备11上的非故意的程序错误的存储器保护。操作系统是控制程序的执行和控制诸如存储器、CPU时间、输入和输出设备的资源分配和使用的软件。 0025 第二访问控制单元32提供对于被限定的存储区的存储器保护。由相关联的处理设备11、12、13对存储设备17的任何读或写访问必须被第二访问控制单元32准予。为此目的，关于可容许的地址的指令被存储在第二访问控制单元32中。对第二访问控制单元32。

21、进行编程，以针对不同的处理设备11、12、13分配存储区。对第二访问控制单元32进行编程的不同方法在下面的实例中被描述。 0026 第一实例允许由相关联的处理设备对第二访问控制单元32进行编程。但是第二访问控制单元32的编程可由并不是相关联的处理设备的其他处理设备来读。在第一步骤中，在初始化之后，每个存储器保护单元14、15、16的第一访问控制单元31和第二访问控制单元32由相关联的处理设备11、12、13来编程。在第二访问控制单元32的编程之后，该编程由并不是相关联的处理设备的至少一个其他的处理设备来读。作为实例，处理设备11可以对存储器保护单元14的第二访问控制单元32进行编。

22、程。第二访问控制单元的编程由并不是相关联的处理设备的12或13来读并且与第二访问控制单元32的期望的编程进行比较。如果该比较失败，则将在系统中用信号通知错误并且将触发适当的反应。如上，可以确说明书CN 102486755 A 4/7页 7 保的是：第二访问控制单元32的编程可被视为静态的。 0027 对所有相关联的处理设备的存储器保护单元的第二访问控制单元32进行编程的另一实例恰好由一个处理设备执行，并且然后由另一处理设备检查编程的正确性。作为实例，在图1中，存储器保护单元15和16的第二访问控制单元32可由处理设备11来编程，并且该编程的检查由编程设备12来完成。存储器保护单。

23、元14的第二访问控制单元32可由处理设备12来编程，并且该编程的检查由编程设备13来完成。 0028 对第二访问控制单元32进行编程和检查的替换方法是：处理设备11可以对存储器保护单元15的第二访问控制单元32进行编程，并且检查可以由处理设备13来完成。处理设备12可以对存储器保护单元16的第二访问控制单元32进行编程，并且检查可以由处理设备11来完成。类似地，处理设备13可以对存储器保护单元14的第二访问控制单元32 进行编程，并且检查可以由处理设备12来完成。 0029 用于检查第二访问控制单元32的所存储的编程的正确性的替换方法是：可以从所有处理设备来读第二访问控制单元32。处。

24、理设备通过读所有存储器保护单元的第二访问控制单元32的所存储的编程来周期性地检查所有第二访问控制单元32的正确编程。通过这种方法，确定存储区21、22、23中的哪个部分可由哪个处理设备访问。然后该信息与存储区21、22、23分配到处理设备的期望分配相比较。如果该检查失败，则可以例如给预限定的处理设备生成错误信号，以对第二访问控制单元32重编程。例如，存储区22应仅可由处理设备12访问。如果存储器保护单元14和16的第二访问控制单元32已经被编程来给予处理设备11和13针对存储区22的访问，则处理设备12可以生成错误信号给处理设备11 和13，以对存储器保护单元14和16的第二访问控。

25、制单元32重编程。可替换地，错误信号也可以引起像关机或者复位那样的系统广泛反应（wide reaction）。 0030 如上面解释的那样，由哪个处理设备对第二访问控制单元32进行编程和检查可以在初始化期间被配置。 0031 在如图1中所示的多处理系统中，一些处理设备可以是在其上不能执行程序的诸如DMA控制器或者CAN控制器的控制器。在这样的系统中，系统的至少两个处理设备（例如 11、12）必须是在其上可以执行程序的诸如中央处理单元、协处理器、外围控制器或者其他单元的处理器，而其他处理设备可以是像在其上没有程序执行的总线主控器那样的处理设备、诸如DMA控制器或者CAN控制器，例如13。

26、。在这种情况下，处理设备11、12将负责对与处理设备13相关联的存储器保护单元16的第一访问控制单元31和第二访问控制单元32 进行编程和检查编程的正确性。 0032 图2示出了具有安全核500的系统。安全核500是锁步模式下的处理设备501和 502的操作对。可替换地，安全核可以被实现为由监控CPU所监督的CPU。第一处理设备 501和第二处理设备502被连接到比较器503。处理设备501、处理设备502和比较器503 形成称为安全核500的逻辑核。安全核500和存储器保护单元504经由通信线路104彼此连接。存储器保护单元504经由系统总线200被连接到存储设备17。在图2中示出的其他。

27、元件和连接、像存储设备17、处理设备12、13、存储器保护单元15、16、通信线路102、103、复位线路300和系统总线200是与图1中所描述的设备相同的设备并且执行与图1中所描述的功能相同的功能。比较器503监控两个处理设备501、502的输出并且在不一致的情况下标记出错误。说明书CN 102486755 A 5/7页 8 0033 锁步是一种用于实现微处理器系统中的高故障检测能力的技术。这通过将相同的第二处理设备502添加到监控和验证第一处理设备501的操作的系统来完成。两个处理设备501、502在系统起动期间被初始化到相同状态，并且这两个处理设备501、502接收相同。

28、的输入，因此在正常操作期间，这两个处理设备501、502的状态每个时钟（from clock to clock）都是相同的。这两个处理设备501、502被称为以锁步方式操作。锁步技术假定：处理设备501和502中的任何一个中的错误将引起两个处理设备501、502的状态之间的差别，该差别将可能被显现为输出中的差别，因此该锁步系统监控这两个处理器的输出并且在不一致的情况下标记出错误。 0034 可以在处理设备501与处理设备502之间提供时间或时钟延迟。这两个处理设备501、502因此在时间上有小延迟、例如1.5或2个周期差的情况下处理相同的程序。因此，如果发生随机错误，则这两个处理设。

29、备501、502并不在相同的周期执行相同的错误，而是偏移以延迟地执行相同的错误。因此，该时间延迟是检测并且因此消除在两个处理设备 501、502上执行程序时的随机错误的方法。输入和输出数据的延迟允许安全核500减少可能在处理设备中出现的一些故障。 0035 存储器保护单元504的第二访问控制单元32可以是可选的单元，因为逻辑核已经是安全核，并且因此可以不需要存储器保护单元504的第二访问控制单元32。如果存在完整的存储器保护单元，则存储器保护单元504的第一访问控制单元31和第二访问控制单元 32由安全核500本身来编程。在安全核500的初始化期间对存储器保护单元504的第二访问控制。

30、单元32进行编程。在针对由安全核500执行的每个任务的操作期间动态地对存储器保护单元504的第一访问控制单元31进行编程。 0036 存储器保护单元15和16的第二访问控制单元32由安全核500来编程。优选地，这也在初始化期间完成。所要求的可容许的地址被适当地编程。正确的编程可以通过可以由安全核500本身执行的简单的读测试来确保。 0037 具有安全核的优点是该安全核允许控制整个系统，因为该安全核500的故障检测的能力如此高。 0038 下面的图3、4和5描述了处理设备11、12、13出于对不同的第二访问控制单元32 进行编程或者读第二访问控制单元32的编程的目的可以如何访问存储器保护。

31、单元14、15、 16。 0039 图3示出了在图1和2中曾描述过的三个处理设备11、12、13和三个存储器保护单元14、15、16。存储器保护单元14用通信线路101被连接到相关联的处理设备11。存储器保护单元15用通信线路102被连接到相关联的处理设备12。存储器保护单元16用通信线路103被连接到相关联的处理设备13。出于简单的原因，没有示出存储器保护单元14、 15、16、总线系统200和存储设备17的内部结构。另外，存储器保护单元14用另外的通信线路1200被连接到处理设备12。存储器保护单元15用另外的通信线路1300被连接到处理设备13。存储器保护单元16用另外的通信线。

32、路1100被连接到处理设备11。利用该布局，处理设备11、12、13与存储器保护单元14、15、16之间的通信仅在这些通信线路上是可能的。存储器保护单元14可以与相关联的处理设备11和另外的处理设备12进行通信。存储器保护单元15可以与相关联的处理设备12和另外的处理设备13进行通信。存储器保护单元16可以与相关联的处理设备13和另外的处理设备11进行通信。如果相关联的处说明书CN 102486755 A 6/7页 9 理设备11、12、13可以对相关联的存储器保护单元14、15、16进行编程并且该编程可以由任何其他的处理设备来控制，则可以使用这样的固定线连接。当然，灵活性是低。

33、的，因为不得不建立通信线路并且不能容易地改变该通信线路。 0040 在图4中示出了具有更多灵活性的另一系统。图4示出了在图1和2中曾描述过的三个处理设备11、12、13和三个存储器保护单元14、15、16。存储器保护单元14用通信线路101被连接到相关联的处理设备11。存储器保护单元15用通信线路102被连接到相关联的处理设备12。存储器保护单元16用通信线路103被连接到相关联的处理设备13。出于简单的原因，没有示出存储器保护单元14、15、16、总线系统200和存储设备17的内部结构。另外，所有处理设备11、12、13和所有存储器保护单元14、15、16连接到另外的总线系统6。

34、00。该另外的总线系统600独立于如在图1和2中描述的总线系统200。该另外的总线系统600允许每个处理设备11、12、13与每个存储器保护单元14、15、16之间的通信。该布局可用于由处理设备11、12、13对存储器保护单元14、15、16进行编程的方法中的任何一个。该另外的总线系统600可以允许任何处理设备11、12、13对任何存储器保护单元14、 15、16进行编程。该另外的总线系统600允许任何处理设备11、12、13读任何存储器保护单元14、15、16的编程，并且因此允许控制和检查第二访问控制单元32的编程的正确性。图 4的系统除了正常的总线系统200之外还需要单独的另外的总。

35、线系统600。因此，该系统与图1和2中示出的系统相比涉及额外的投入。 0041 在处理设备14、15和16之间建立通信的另一方法是使用总线系统200。这样做的优点是不需要另外的总线线路。缺点是：总线系统200上的总线负荷增加并且处理设备 11、12、13需要适当的软件来处理经由总线系统200的另外的通信。但是，该类型的通信是非常灵活的并且不需要另外的投入。 0042 在图1和2中，处理设备11、12、13与总线系统200没有直接连接，而是仅仅经由存储器保护单元14、15、16被连接到总线系统200。图5示出了处理设备11、12、13与总线系统200之间的可替换的连接，该连接仍涉及存储。

36、器保护单元以准予或拒绝对总线系统200 或存储设备17的访问。 0043 处理设备11经由地址总线801和数据总线804被连接到总线系统200。存储器保护单元14用地址总线801被连接到相关联的处理设备11并且还用使能线路700被连接到相关联的处理设备11。处理设备12经由地址总线802和数据总线805被连接到总线系统200。存储器保护单元15用地址总线802被连接到相关联的处理设备12并且还用使能线路701被连接到相关联的处理设备12。处理设备13经由地址总线803和数据总线806 被连接到总线系统200。存储器保护单元15用地址总线803被连接到相关联的处理设备 13并且还用使能线。

37、路702被连接到相关联的处理设备13。存储器保护单元14用控制线路 810被连接到总线系统200。存储器保护单元15用控制线路811被连接到总线系统200。存储器保护单元16用控制线路812被连接到总线系统200。控制线路810、811和812用于控制对总线系统200或存储设备17的访问。存储器保护单元14、15、16在这些控制线路 810、811和812上将诸如读使能、写使能、存储器选择信号或者输入/输出信号的控制信号发送给总线系统200或者发送给存储设备17。出于简单的原因，没有示出存储器保护单元 14、15、16的内部结构。 0044 处理设备11、12、13可以发出用于读或写存储。

38、设备17或者访问总线系统200的说明书CN 102486755 A 7/7页 10 命令。处理设备11、12、13在地址总线801、802、803上放置访问地址并且通过在使能线路 700、701、702上传送诸如读使能或写使能信号的控制信号来放置访问地址。存储器保护单元14、15、16观察地址总线801、802、803上的访问地址连同使能线路700、701、702上的读使能或写使能信号。存储器保护单元14、15和16将访问地址与存储在每个存储器保护单元的第一访问控制单元31和第二访问控制单元32中的地址进行比较。如果这些地址是有效地址，则存储器保护单元14、15、16通过在控制线。

39、路810、811和812上传送控制信号而对相关联的处理设备11、12、13准予访问，以访问总线系统200或者存储设备17。该控制信号可以是总线系统200上的或者到存储设备17的读使能或写使能信号。如果这些地址不是有效地址，则存储器保护单元14、15、16通过使控制线路810、811、812无效来拒绝给予对相关联的处理设备11、12、13的访问。准予或拒绝相关联的处理设备11、12、13对总线系统 200或者对存储设备17的访问通过控制线路810、811、812来控制。因此，存储器保护单元 14、15、16观察地址总线801、802、803上的访问地址并且控制对总线系统200或者存储设备。

40、 17的访问。 0045 一旦在复位之后，存储器保护单元14、15、16、504的第二访问控制单元32就被编程。因此，如在图1至图5中所示的存储器保护单元14、15、16包括用于第二访问控制单元 32的编程的硬件单元33。该硬件单元33具有需要特定输入并且允许第二访问控制单元32 的编程的硬件元件。 0046 硬件单元33具有通过外部引脚34被连接到复位线路300的复位检测。第二访问控制单元32的编程通过硬件单元33与复位信号耦合。该复位信号被给予外部引脚34。复位检测检测到复位信号，该复位信号然后被用于内部复位信号35以使能第二访问控制单元32的编程。在复位之后，第二访问控制单元32。

41、准备好编程。复位检测可以生成到安全核500或者到预限定的处理设备11、12、13的中断，以对第二访问控制单元32进行编程。可替换地，复位检测可以简单地使能编程，并且在编程之后禁用对第二访问控制单元32的访问。第二访问控制单元32然后如刚才所描述的那样由安全核500或者由预限定的处理设备11、12、13来编程。与复位检测和硬件单元33结合地存在用于对第二访问控制单元32 进行编程的不同可能性。 0047 1.第一可能性是将复位检测与一次编程相组合。硬件单元33可以具有确保第二访问控制单元32在复位之后恰好被编程一次的寄存器。在第二访问控制单元32被编程之后，对第二访问控制单元32的后。

42、续写访问触发错误。 0048 2.第二可能性是将复位检测与锁定寄存器相组合。硬件单元33可以具有锁定寄存器，该锁定寄存器确保：只有当该锁定寄存器被以某一形式访问时，第二访问控制单元 32才可以被编程。在初始化期间或者在复位之后允许对锁定寄存器的访问。硬件单元33 的锁定寄存器允许使能或禁用第二访问控制单元32的编程。 0049 3.第三可能性是将复位检测与定时器相组合。硬件单元33可以具有定时器控制寄存器，该定时器控制寄存器确保第二访问控制单元32可以在复位之后的预限定的时间之内被写。在第二访问控制单元32被编程之后，对第二访问控制单元32的后续写访问触发。可以对定时器控制寄存器进行编程，以保持预限定的时间。说明书CN 102486755 A 10 1/5页 11 图 1 说明书附图CN 102486755 A 11 2/5页 12 图 2 说明书附图CN 102486755 A 12 3/5页 13 图 3 说明书附图CN 102486755 A 13 4/5页 14 图 4 说明书附图CN 102486755 A 14 5/5页 15 图 5 说明书附图CN 102486755 A 15 。

摘要
申请专利号：	CN201110395093.9	申请日：	2011.12.02
公开号：	CN102486755A	公开日：	2012.06.06
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 12/14申请日:20111202\|\|\|公开
IPC分类号：	G06F12/14	主分类号：	G06F12/14
申请人：	罗伯特·博世有限公司
发明人：	D.托斯; C.罗萨; B.米勒; C.格鲍尔; M.费尔希; M.埃伯特
地址：	德国斯图加特
优先权：	2010.12.03 EP 10193580.7
专利代理机构：	中国专利代理(香港)有限公司 72001	代理人：	胡莉莉;卢江
PDF完整版下载：	PDF下载

内容摘要

本发明涉及存储器保护单元和用于控制对存储设备的访问的方法。存储器保护单元包括被编程用于控制对存储设备的访问的至少一个第一访问控制单元和至少一个第二访问控制单元。另外涉及一种操作包括多个处理设备和关联到所述多个处理设备的多个存储器保护单元的处理系统的方法。如果第一访问控制单元和第二访问控制单元批准处理设备对存储器的访问，则该访问被批准，而如果第一访问控制单元或第二访问控制单元拒绝该访问，则该访问被拒绝。第一访问控制单元能由相关联的处理设备单独编程，并且第二访问控制单元的编程能由要用在具有多个编程设备的系统中的并不是相关联的处理设备的另外的处理设备来读。

权利要求书

1：一种供具有多个处理设备的系统使用的存储器保护单元（14、 15、 16），其包括至少一个第一访问控制单元（31）和至少一个第二访问控制单元（32），第一和第二访问控制单元被编程，用于控制所述存储器保护单元（14、 15、 16）所关联到的相关联的处理设备（11、 12、 13）对存储设备（17）的访问，其中，如果第一访问控制单元（31）和第二访问控制单元（32）批准所述相关联的处理设备（11、 12、 13）对存储设备（17）的访问，则该访问被批准，而如果第一访问控制单元（31）或第二访问控制单元（32）拒绝该访问，则该访问被拒绝；第一访问控制单元（31）能由所述相关联的处理设备（11、 12、 13）单独编程；并且第二访问控制单元（32）的编程能由并不是所述相关联的处理设备的另外的处理设备来读。
2：根据权利要求 1 所述的存储器保护单元（14、 15、 16），其特征在于硬件单元（33），以确保第二访问控制单元（32）的编程不能由所述相关联的处理设备（11、 12、 13）单独进行。
3：根据权利要求 2 所述的存储器保护单元（14、 15、 16），其中，所述硬件单元（33）具有外部引脚（34），以接收复位信号，其中在复位之后，所述硬件单元（33）允许对第二访问控制单元（32）编程一次。
4：根据权利要求 2 所述的存储器保护单元（14、 15、 16），其中，所述硬件单元（33）具有锁定寄存器，以使能或禁用第二访问控制单元（32）的重编程。
5：根据权利要求 4 所述的存储器保护单元（14、 15、 16），其中，仅在复位之后允许对锁定寄存器的访问。
6：根据权利要求 2 所述的存储器保护单元（14、 15、 16），其中，所述硬件单元（33）具有定时器，以允许在第二访问控制单元（32）的复位之后的预限定的时间之内对第二访问控制单元（32）进行编程，并且后来的编程通过硬件单元（33）发起错误信号。
7：一种操作包括多个处理设备（11、 12、 13）和相关联的存储器保护单元（14、 15、 16）的处理系统的方法，其具有以下步骤： - 对所述存储器保护单元（14、 15、 16）的第一访问控制单元（31）进行编程，其中每个处理设备（11、 12、 13）都对所述处理设备（11、 12、 13）所关联到的所述存储器保护单元（14、 15、 16）的第一访问控制单元（31）进行编程； - 对关联到所述处理设备（11、 12、 13）的所述存储器保护单元（14、 15、 16）的第二访问控制单元（32）进行编程，其中第二访问控制单元（32）的编程包括由并不是相关联的处理设备的处理设备检查所述编程； - 如果关联到处理设备（11、 12、 13）的所述存储器保护单元（14、 15、 16）的第一访问控制单元（31）和第二访问控制单元（32）批准所述处理设备（11、 12、 13）对存储器（17）的访问，则该访问被批准，而如果第一访问控制单元（31）或第二访问控制单元（32）拒绝该访问，则该访问被拒绝。
8：根据权利要求 6 所述的方法，其中，第二访问控制单元（32）的编程需要到多个编程设备的复位信号，并且第二访问控制单元（32）能由并不是所述存储器保护单元的相关联的处理设备的处理设备重编程一次。
9：根据权利要求 6 所述的方法，其中，对第二访问控制单元（32）的正确编程的检查周期性地完成，如果检查失败，则生成错误信号。
10：根据权利要求 6 所述的方法，其中，如果第二访问控制单元（32）被重编程，则完成 2 对第二访问控制单元（32）的正确编程的检查。
11：根据权利要求 6 所述的方法，能够由安全核（500）完成第二访问控制单元（32）的编程和对程序正确性的检查。

说明书

存储器保护单元和用于控制对存储设备的访问的方法
    技术领域本发明涉及一种存储器保护单元以及一种保护存储设备免受未授权访问和在具有多个处理设备的多处理系统中管理对存储区的访问的方法。通常，本发明适用于各种存储设备以保护存储器。
     背景技术使用中存在不同类型的设备和存储器管理以保护存储器。专利 US 2008/0155188 公开了这样的存储器保护单元。
     发明内容根据独立权利要求的存储器保护单元和方法具有如下优点：通过使用两个访问控制单元，可以实现非常安全的并且同时非常灵活的存储器保护。所述访问控制单元之一保护存储器以防不希望的被不同程序设备访问。其他访问控制单元保护存储器以防对由一个处理设备执行的不同程序或任务的不希望的访问。
     另外的优点通过从属权利要求的特征实现。
     通过使用硬件单元，减少了允许不希望访问的软件错误的可能性。该硬件单元保护存储设备免受软件错误。所述软件错误不能生成对存储设备的非法访问。
     另外，所述硬件单元确保第二访问控制单元的编程不能由相关联的处理设备进行（happen）。第二访问控制单元可由并不是相关联的处理设备的任何其他处理设备来编程。这防止相关联的处理设备在第二访问控制单元上对错误的地址进行编程。
     所述硬件单元可以具有锁定寄存器，该锁定寄存器进一步控制第二访问控制单元的后续编程。任何对于另外编程的企图生成错误信号。因此，所述存储器保护单元被更多地保护免受非法编程。
     所述存储器保护单元可以被实现来使得所述存储器保护单元需要复位信号以对第二访问控制单元进行编程，并且可以在复位之后和 / 或在复位之后的仅仅某特定时间周期内仅被编程一次。所述第二访问控制单元在正常操作期间是不可编程的。因此，所述存储器保护单元得到更多保护。因为存储器保护单元受到保护，所以所述存储器保护单元提供对存储设备的更多保护。
     检查第二访问控制单元的正确编程的一个非常有效的方法是：每个处理设备都周期性地检查所有第二访问控制单元的所存储的访问权限并且与存储区的期望的访问权限进行比较。如果该检查失败，则生成错误信号。因此，该方法防止了多个处理设备访问它们不被允许访问的存储区。该方法要求非常少的资源。如果第二访问控制单元被编程，则再次应用该方法。因此，每次该方法都确保了第二访问控制单元的访问权限的正确内容。
     第二访问控制单元可以由安全核编程，并且第二访问控制单元的编程可以由安全核本身来检查。因此，安全核控制整个系统。对安全核进行保护以防随机硬件错误以及软件错误，这进一步地使得系统非常安全。由安全核可以实现高度的保护。
     附图说明
     图 1 图示了多处理器系统中的根据本发明的实施例的存储器保护单元的功能框图。图 2 示出了具有用于对存储器保护单元进行编程的安全核的多处理器系统。
     图 3 和图 4 示出了处理设备 11、 12、 13 可以如何出于对第二访问控制单元 32 进行编程或者读第二访问控制单元 32 的编程的目的而访问存储器保护单元 14、 15、 16。
     图 5 示出了在处理设备 11、 12、 13、总线系统 200 与存储设备 17 之间的可替换的连接。
     具体实施方式
     图 1 示出了包括多个处理设备 11、 12、 13 的框图。第一处理设备 11 经由通信线路 101 被连接到第一存储器保护单元 14。第二处理设备 12 经由通信线路 102 被连接到第二存储器保护单元 15。第三处理设备 13 经由通信线路 103 被连接到第三存储器保护单元 16。存储器保护单元 14、存储器保护单元 15 和存储器保护单元 16 经由系统总线 200 被连接到存储设备 17。系统总线可以是总线系统、交叉开关、互连或者任何其他芯片内部通信系统。存储器保护单元 14、 15、 16 各具有第一访问控制单元 31、第二访问控制单元 32 和硬件单元 33。硬件单元 33 经由内部复位信号 35 被连接到第二访问控制单元 32。硬件单元 33 具有连接到复位线路 300 的外部引脚 34。尽管第一访问控制单元 31、第二访问控制单元 32 和硬件单元 33 在 14、 15、 16 之内都具有相对应的功能，这些第一访问控制单元 31、第二访问控制单元 32 和硬件单元 33 并不是 “等同的” 。在一种实现方案中，存储器保护单元还可以被视为处理设备的部分或者被视为通信系统的部分。处理设备 11 被关联到存储器保护单元 14，使得处理设备 11 可以仅仅通过存储器保护单元 14 来访问存储设备 17。类似地，处理设备 12 和 13 被关联到存储器保护单元 15 和 16，使得这些处理设备可以分别仅仅通过存储器保护单元 15 和 16 来访问存储设备 17。访问意味着：处理设备 11、 12、 13 给出用于使得能够对存储设备 17 进行读或写的地址。
     处理设备 11、 12、 13 是能够执行程序的处理器或者是能够向存储设备 17 发出读或写命令的控制器。处理器例如可以是中央处理单元（CPU）、外围处理器或者协处理器。控制器可以诸如是直接存储器访问（DMA）控制器或者 CAN 控制器。
     存储设备 17 是存储单元的集合以暂时或持久地存储可以通过地址来访问的数据或程序。所有存储器或部分存储器可以被处理设备 11、 12 和 13 来访问。例如，存储设备 17 可以是 RAM、 ROM、 FLASH 或者非易失性 RAM 等或者外围部件的存储接口或者这样的存储设备的组合。
     由 18、 19 表示的程序是由处理设备 11、 12 或 13 执行的任何大小的可执行指令序列。可存在由处理设备执行的许多不同的这样的程序，并且它们可能需要对存储设备 17 的访问。这些程序可能利用整个存储设备 17 或者部分存储设备 17。现在将可交换地参照术语 “程序” 或 “任务” 。
     存储设备 17 对于处理设备 11、 12、 13 作为仅仅 “读” 选项或者在 “读” 和 “写” 选项的情况下是可用的。存储设备 17 的部分可专用于仅仅可被某些处理设备或某些程序访问。
     如在图 1 中所示，存储区 21、 22、 23 专用于不同的处理设备 11、 12、 13。存储区 21 示出了由存储区 210、 211 给出的子结构，其中这些存储区 210、 211 动态地根据哪个任务 18、 19 被处理设备 11 执行而被分配。为由该处理设备执行的特定程序所预留的存储区可以不被允许由另一处理设备写或者甚至读访问，并且反之亦然。图 1 示出了存储区 21，该存储区 21 意图仅可由被处理设备 11 所执行的程序访问。另外，存储区 23 仅可由被处理设备 12 执行的程序访问。存储区 22 仅可被处理设备 12 访问。
     根据哪个程序 18、 19 被处理设备 11 执行，第一访问控制单元 31 准予对不同的子存储区 210、 211 的访问。这通过对第一访问控制单元 31 动态地重编程来实现。
     为简单起见，以下段落中的描述关于处理设备 11 和存储器保护单元 14 来解释。除非另行说明，类似的过程同样也适用于其他处理设备 12、 13 和存储器保护单元 15、 16。
     存储器保护单元 14、 15、 16 的第一访问控制单元 31 和第二访问控制单元 32 具有检查处理设备 11、 12、 13 的访问命令的模式（读、写、控制）和地址的功能。为此目的，对可容许的地址的限制被存储在第一和第二访问控制单元 31、 32 中。由相关联的处理设备 11、 12、 13 对存储设备 17 的任何读或写访问通过存储器保护单元 14、 15、 16 来完成。如果第一访问控制单元 31 和第二访问控制单元 32 批准针对所请求的地址对相关联的处理设备 11 的访问，则批准该访问。如果第一访问控制单元 31 和第二访问控制单元 32 中的任何一个拒绝该访问，则该访问受到拒绝。
     相对应的存储器保护单元 14 的第一访问控制单元 31 可由相关联的处理设备 11 来编程。动态地针对每个任务 18、 19 对第一访问控制单元 31 进行编程。第一访问控制单元 31 的编程不应是运行任务本身的部分。因此，该编程仅被在相关联的设备 11 中运行的程序的特定部分允许。优选地，应仅通过操作系统对第一访问控制单元 31 进行编程。存储区 210 被允许仅被任务 18 访问，而存储区 211 仅针对任务 19 是可访问的，并且这由操作系统进行编程。这样，任务 18、 19 因此可以仅具有对许可的存储区 210、 211 的访问。因此，第一访问控制单元 31 提供免受在该处理设备 11 上的非故意的程序错误的存储器保护。操作系统是控制程序的执行和控制诸如存储器、 CPU 时间、输入和输出设备的资源分配和使用的软件。
     第二访问控制单元 32 提供对于被限定的存储区的存储器保护。由相关联的处理设备 11、 12、 13 对存储设备 17 的任何读或写访问必须被第二访问控制单元 32 准予。为此目的，关于可容许的地址的指令被存储在第二访问控制单元 32 中。对第二访问控制单元 32 进行编程，以针对不同的处理设备 11、 12、 13 分配存储区。对第二访问控制单元 32 进行编程的不同方法在下面的实例中被描述。
     第一实例允许由相关联的处理设备对第二访问控制单元 32 进行编程。但是第二访问控制单元 32 的编程可由并不是相关联的处理设备的其他处理设备来读。在第一步骤中，在初始化之后，每个存储器保护单元 14、 15、 16 的第一访问控制单元 31 和第二访问控制单元 32 由相关联的处理设备 11、 12、 13 来编程。在第二访问控制单元 32 的编程之后，该编程由并不是相关联的处理设备的至少一个其他的处理设备来读。作为实例，处理设备 11 可以对存储器保护单元 14 的第二访问控制单元 32 进行编程。第二访问控制单元的编程由并不是相关联的处理设备的 12 或 13 来读并且与第二访问控制单元 32 的期望的编程进行比较。如果该比较失败，则将在系统中用信号通知错误并且将触发适当的反应。如上，可以确保的是：第二访问控制单元 32 的编程可被视为静态的。
     对所有相关联的处理设备的存储器保护单元的第二访问控制单元 32 进行编程的另一实例恰好由一个处理设备执行，并且然后由另一处理设备检查编程的正确性。作为实例，在图 1 中，存储器保护单元 15 和 16 的第二访问控制单元 32 可由处理设备 11 来编程，并且该编程的检查由编程设备 12 来完成。存储器保护单元 14 的第二访问控制单元 32 可由处理设备 12 来编程，并且该编程的检查由编程设备 13 来完成。
     对第二访问控制单元 32 进行编程和检查的替换方法是：处理设备 11 可以对存储器保护单元 15 的第二访问控制单元 32 进行编程，并且检查可以由处理设备 13 来完成。处理设备 12 可以对存储器保护单元 16 的第二访问控制单元 32 进行编程，并且检查可以由处理设备 11 来完成。类似地，处理设备 13 可以对存储器保护单元 14 的第二访问控制单元 32 进行编程，并且检查可以由处理设备 12 来完成。
     用于检查第二访问控制单元 32 的所存储的编程的正确性的替换方法是：可以从所有处理设备来读第二访问控制单元 32。处理设备通过读所有存储器保护单元的第二访问控制单元 32 的所存储的编程来周期性地检查所有第二访问控制单元 32 的正确编程。通过这种方法，确定存储区 21、 22、 23 中的哪个部分可由哪个处理设备访问。然后该信息与存储区 21、 22、 23 分配到处理设备的期望分配相比较。如果该检查失败，则可以例如给预限定的处理设备生成错误信号，以对第二访问控制单元 32 重编程。例如，存储区 22 应仅可由处理设备 12 访问。如果存储器保护单元 14 和 16 的第二访问控制单元 32 已经被编程来给予处理设备 11 和 13 针对存储区 22 的访问，则处理设备 12 可以生成错误信号给处理设备 11 和 13，以对存储器保护单元 14 和 16 的第二访问控制单元 32 重编程。可替换地，错误信号也可以引起像关机或者复位那样的系统广泛反应（wide reaction）。如上面解释的那样，由哪个处理设备对第二访问控制单元 32 进行编程和检查可以在初始化期间被配置。
     在如图 1 中所示的多处理系统中，一些处理设备可以是在其上不能执行程序的诸如 DMA 控制器或者 CAN 控制器的控制器。在这样的系统中，系统的至少两个处理设备（例如 11、 12）必须是在其上可以执行程序的诸如中央处理单元、协处理器、外围控制器或者其他单元的处理器，而其他处理设备可以是像在其上没有程序执行的总线主控器那样的处理设备、诸如 DMA 控制器或者 CAN 控制器，例如 13。在这种情况下，处理设备 11、 12 将负责对与处理设备 13 相关联的存储器保护单元 16 的第一访问控制单元 31 和第二访问控制单元 32 进行编程和检查编程的正确性。
     图 2 示出了具有安全核 500 的系统。安全核 500 是锁步模式下的处理设备 501 和 502 的操作对。可替换地，安全核可以被实现为由监控 CPU 所监督的 CPU。第一处理设备 501 和第二处理设备 502 被连接到比较器 503。处理设备 501、处理设备 502 和比较器 503 形成称为安全核 500 的逻辑核。安全核 500 和存储器保护单元 504 经由通信线路 104 彼此连接。存储器保护单元 504 经由系统总线 200 被连接到存储设备 17。在图 2 中示出的其他元件和连接、像存储设备 17、处理设备 12、 13、存储器保护单元 15、 16、通信线路 102、 103、复位线路 300 和系统总线 200 是与图 1 中所描述的设备相同的设备并且执行与图 1 中所描述的功能相同的功能。比较器 503 监控两个处理设备 501、 502 的输出并且在不一致的情况下标记出错误。
     锁步是一种用于实现微处理器系统中的高故障检测能力的技术。这通过将相同的第二处理设备 502 添加到监控和验证第一处理设备 501 的操作的系统来完成。两个处理设备 501、 502 在系统起动期间被初始化到相同状态，并且这两个处理设备 501、 502 接收相同的输入，因此在正常操作期间，这两个处理设备 501、 502 的状态每个时钟（from clock to clock）都是相同的。这两个处理设备 501、 502 被称为以锁步方式操作。锁步技术假定：处理设备 501 和 502 中的任何一个中的错误将引起两个处理设备 501、 502 的状态之间的差别，该差别将可能被显现为输出中的差别，因此该锁步系统监控这两个处理器的输出并且在不一致的情况下标记出错误。
     可以在处理设备 501 与处理设备 502 之间提供时间或时钟延迟。这两个处理设备 501、 502 因此在时间上有小延迟、例如 1.5 或 2 个周期差的情况下处理相同的程序。因此，如果发生随机错误，则这两个处理设备 501、 502 并不在相同的周期执行相同的错误，而是偏移以延迟地执行相同的错误。因此，该时间延迟是检测并且因此消除在两个处理设备 501、 502 上执行程序时的随机错误的方法。输入和输出数据的延迟允许安全核 500 减少可能在处理设备中出现的一些故障。
     存储器保护单元 504 的第二访问控制单元 32 可以是可选的单元，因为逻辑核已经是安全核，并且因此可以不需要存储器保护单元 504 的第二访问控制单元 32。如果存在完整的存储器保护单元，则存储器保护单元 504 的第一访问控制单元 31 和第二访问控制单元 32 由安全核 500 本身来编程。在安全核 500 的初始化期间对存储器保护单元 504 的第二访问控制单元 32 进行编程。在针对由安全核 500 执行的每个任务的操作期间动态地对存储器保护单元 504 的第一访问控制单元 31 进行编程。存储器保护单元 15 和 16 的第二访问控制单元 32 由安全核 500 来编程。优选地，这也在初始化期间完成。所要求的可容许的地址被适当地编程。正确的编程可以通过可以由安全核 500 本身执行的简单的读测试来确保。
     具有安全核的优点是该安全核允许控制整个系统，因为该安全核 500 的故障检测的能力如此高。
     下面的图 3、 4 和 5 描述了处理设备 11、 12、 13 出于对不同的第二访问控制单元 32 进行编程或者读第二访问控制单元 32 的编程的目的可以如何访问存储器保护单元 14、 15、 16。
     图 3 示出了在图 1 和 2 中曾描述过的三个处理设备 11、 12、 13 和三个存储器保护单元 14、 15、 16。存储器保护单元 14 用通信线路 101 被连接到相关联的处理设备 11。存储器保护单元 15 用通信线路 102 被连接到相关联的处理设备 12。存储器保护单元 16 用通信线路 103 被连接到相关联的处理设备 13。出于简单的原因，没有示出存储器保护单元 14、 15、 16、总线系统 200 和存储设备 17 的内部结构。另外，存储器保护单元 14 用另外的通信线路 1200 被连接到处理设备 12。存储器保护单元 15 用另外的通信线路 1300 被连接到处理设备 13。存储器保护单元 16 用另外的通信线路 1100 被连接到处理设备 11。利用该布局，处理设备 11、 12、 13 与存储器保护单元 14、 15、 16 之间的通信仅在这些通信线路上是可能的。存储器保护单元 14 可以与相关联的处理设备 11 和另外的处理设备 12 进行通信。存储器保护单元 15 可以与相关联的处理设备 12 和另外的处理设备 13 进行通信。存储器保护单元 16 可以与相关联的处理设备 13 和另外的处理设备 11 进行通信。如果相关联的处
     理设备 11、 12、 13 可以对相关联的存储器保护单元 14、 15、 16 进行编程并且该编程可以由任何其他的处理设备来控制，则可以使用这样的固定线连接。当然，灵活性是低的，因为不得不建立通信线路并且不能容易地改变该通信线路。
     在图 4 中示出了具有更多灵活性的另一系统。图 4 示出了在图 1 和 2 中曾描述过的三个处理设备 11、 12、 13 和三个存储器保护单元 14、 15、 16。存储器保护单元 14 用通信线路 101 被连接到相关联的处理设备 11。存储器保护单元 15 用通信线路 102 被连接到相关联的处理设备 12。存储器保护单元 16 用通信线路 103 被连接到相关联的处理设备 13。出于简单的原因，没有示出存储器保护单元 14、 15、 16、总线系统 200 和存储设备 17 的内部结构。另外，所有处理设备 11、 12、 13 和所有存储器保护单元 14、 15、 16 连接到另外的总线系统 600。该另外的总线系统 600 独立于如在图 1 和 2 中描述的总线系统 200。该另外的总线系统 600 允许每个处理设备 11、 12、 13 与每个存储器保护单元 14、 15、 16 之间的通信。该布局可用于由处理设备 11、 12、 13 对存储器保护单元 14、 15、 16 进行编程的方法中的任何一个。该另外的总线系统 600 可以允许任何处理设备 11、 12、 13 对任何存储器保护单元 14、 15、 16 进行编程。该另外的总线系统 600 允许任何处理设备 11、 12、 13 读任何存储器保护单元 14、 15、 16 的编程，并且因此允许控制和检查第二访问控制单元 32 的编程的正确性。图 4 的系统除了正常的总线系统 200 之外还需要单独的另外的总线系统 600。因此，该系统与图 1 和 2 中示出的系统相比涉及额外的投入。在处理设备 14、 15 和 16 之间建立通信的另一方法是使用总线系统 200。这样做的优点是不需要另外的总线线路。缺点是：总线系统 200 上的总线负荷增加并且处理设备 11、 12、 13 需要适当的软件来处理经由总线系统 200 的另外的通信。但是，该类型的通信是非常灵活的并且不需要另外的投入。
     在图 1 和 2 中，处理设备 11、 12、 13 与总线系统 200 没有直接连接，而是仅仅经由存储器保护单元 14、 15、 16 被连接到总线系统 200。图 5 示出了处理设备 11、 12、 13 与总线系统 200 之间的可替换的连接，该连接仍涉及存储器保护单元以准予或拒绝对总线系统 200 或存储设备 17 的访问。
     处理设备 11 经由地址总线 801 和数据总线 804 被连接到总线系统 200。存储器保护单元 14 用地址总线 801 被连接到相关联的处理设备 11 并且还用使能线路 700 被连接到相关联的处理设备 11。处理设备 12 经由地址总线 802 和数据总线 805 被连接到总线系统 200。存储器保护单元 15 用地址总线 802 被连接到相关联的处理设备 12 并且还用使能线路 701 被连接到相关联的处理设备 12。处理设备 13 经由地址总线 803 和数据总线 806 被连接到总线系统 200。存储器保护单元 15 用地址总线 803 被连接到相关联的处理设备 13 并且还用使能线路 702 被连接到相关联的处理设备 13。存储器保护单元 14 用控制线路 810 被连接到总线系统 200。存储器保护单元 15 用控制线路 811 被连接到总线系统 200。存储器保护单元 16 用控制线路 812 被连接到总线系统 200。控制线路 810、 811 和 812 用于控制对总线系统 200 或存储设备 17 的访问。存储器保护单元 14、 15、 16 在这些控制线路 810、 811 和 812 上将诸如读使能、写使能、存储器选择信号或者输入 / 输出信号的控制信号发送给总线系统 200 或者发送给存储设备 17。出于简单的原因，没有示出存储器保护单元 14、 15、 16 的内部结构。
     处理设备 11、 12、 13 可以发出用于读或写存储设备 17 或者访问总线系统 200 的
     命令。处理设备 11、 12、 13 在地址总线 801、 802、 803 上放置访问地址并且通过在使能线路 700、 701、 702 上传送诸如读使能或写使能信号的控制信号来放置访问地址。存储器保护单元 14、 15、 16 观察地址总线 801、 802、 803 上的访问地址连同使能线路 700、 701、 702 上的读使能或写使能信号。存储器保护单元 14、 15 和 16 将访问地址与存储在每个存储器保护单元的第一访问控制单元 31 和第二访问控制单元 32 中的地址进行比较。如果这些地址是有效地址，则存储器保护单元 14、 15、 16 通过在控制线路 810、 811 和 812 上传送控制信号而对相关联的处理设备 11、 12、 13 准予访问，以访问总线系统 200 或者存储设备 17。该控制信号可以是总线系统 200 上的或者到存储设备 17 的读使能或写使能信号。如果这些地址不是有效地址，则存储器保护单元 14、 15、 16 通过使控制线路 810、 811、 812 无效来拒绝给予对相关联的处理设备 11、 12、 13 的访问。准予或拒绝相关联的处理设备 11、 12、 13 对总线系统 200 或者对存储设备 17 的访问通过控制线路 810、 811、 812 来控制。因此，存储器保护单元 14、 15、 16 观察地址总线 801、 802、 803 上的访问地址并且控制对总线系统 200 或者存储设备 17 的访问。
     一旦在复位之后，存储器保护单元 14、 15、 16、 504 的第二访问控制单元 32 就被编程。因此，如在图 1 至图 5 中所示的存储器保护单元 14、 15、 16 包括用于第二访问控制单元 32 的编程的硬件单元 33。该硬件单元 33 具有需要特定输入并且允许第二访问控制单元 32 的编程的硬件元件。
     硬件单元 33 具有通过外部引脚 34 被连接到复位线路 300 的复位检测。第二访问控制单元 32 的编程通过硬件单元 33 与复位信号耦合。该复位信号被给予外部引脚 34。复位检测检测到复位信号，该复位信号然后被用于内部复位信号 35 以使能第二访问控制单元 32 的编程。在复位之后，第二访问控制单元 32 准备好编程。复位检测可以生成到安全核 500 或者到预限定的处理设备 11、 12、 13 的中断，以对第二访问控制单元 32 进行编程。可替换地，复位检测可以简单地使能编程，并且在编程之后禁用对第二访问控制单元 32 的访问。第二访问控制单元 32 然后如刚才所描述的那样由安全核 500 或者由预限定的处理设备 11、 12、 13 来编程。与复位检测和硬件单元 33 结合地存在用于对第二访问控制单元 32 进行编程的不同可能性。
     1. 第一可能性是将复位检测与一次编程相组合。硬件单元 33 可以具有确保第二访问控制单元 32 在复位之后恰好被编程一次的寄存器。在第二访问控制单元 32 被编程之后，对第二访问控制单元 32 的后续写访问触发错误。
     2. 第二可能性是将复位检测与锁定寄存器相组合。硬件单元 33 可以具有锁定寄存器，该锁定寄存器确保：只有当该锁定寄存器被以某一形式访问时，第二访问控制单元 32 才可以被编程。在初始化期间或者在复位之后允许对锁定寄存器的访问。硬件单元 33 的锁定寄存器允许使能或禁用第二访问控制单元 32 的编程。
     3. 第三可能性是将复位检测与定时器相组合。硬件单元 33 可以具有定时器控制寄存器，该定时器控制寄存器确保第二访问控制单元 32 可以在复位之后的预限定的时间之内被写。在第二访问控制单元 32 被编程之后，对第二访问控制单元 32 的后续写访问触发。可以对定时器控制寄存器进行编程，以保持预限定的时间。